信息安全保障工作专题研讨会 吕诚昭 国务院信息化工作办公室 2004年3月9日 云南·大理 信息安全保障和对策 信息安全保障工作专题研讨会 吕诚昭 国务院信息化工作办公室 2004年3月9日 云南·大理
主要内容 国家信息安全保障体系介绍 对信息安全若干具体问题的讨论 对信息安全保障的认识(供参阅) 关于信息安全保障体系框架介绍 (供参阅)
国家信息安全保障体系介绍 贯彻落实 《关于加强信息安全保障工作的意见》 (中办[2003]27号文件)
国家信息化领导小组第三次会议 审议并通过了 《关于加强信息安全保障工作的意见》
国家网络与信息安全协调小组 第二次会议 对贯彻落实 《关于加强信息安全保障工作的意见》 做出了具体工作安排
全国信息安全保障工作会议 黄菊同志做主报告 对贯彻落实 《关于加强信息安全保障工作的意见》 做出了进一步的部署
关于中办[2003]27号文件 我国第一个全面关于信息安全保障工作的文件 文件对中央各部委、各行业和各地区的信息安全保障工作做出原则性战略性的规定 是我国今后一段时期内信息安全保障工作的纲领性文件
国家信息安全保障的战略方针和目标 国家信息安全保障的近期战略目标 加强信息安全保障工作的基本原则 信息安全保障的主要工作 关于加强信息安全保障工作意见 的主要内容 国家信息安全保障的战略方针和目标 国家信息安全保障的近期战略目标 加强信息安全保障工作的基本原则 信息安全保障的主要工作
我国信息安全保障的战略方针 积极防御 综合防范
我国信息安全保障的战略目标 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展,保护公众利益,维护国家安全
党政核心信息系统、国防信息系统、税务、海关、银行、证券、电力、民航、铁路等信息系统 我国信息安全保障的重点 保障基础信息网络的安全 公共电信网络、广电传输网络、互联网 保障重要信息系统的安全 党政核心信息系统、国防信息系统、税务、海关、银行、证券、电力、民航、铁路等信息系统 加强信息内容安全的管理 保护国家关键基础设施
积极防御 加强追踪、取证和打击犯罪等反制手段 用发展的思路来解决信息安全问题,从发展中求安全,以安全保发展 分级、分类、分阶段实施信息安全保障 立足安全防护,加强预警和应急处置 加强追踪、取证和打击犯罪等反制手段 从更深层次和长远考虑,要有必要的信息对抗能力和手段,实现对网络和信息系统安全可控 反制:追踪、取证、打击犯罪、攻击
综合防范 保护、检测、反应(恢复、反制)、预警构成信息安全综合防范体系 从预防、监控、应急处理和打击犯罪等环节 从法律、管理、运行、技术、人才等各个方面 采取多种技术和管理措施 通过全社会的共同努力,全面提升信息安全防护能力
国家信息安全保障的近期战略目标 经过五年左右的努力 基本形成国家信息安全保障体系
加强信息安全保障工作的基本原则 立足国情,以我为主,管理与技术并重 正确处理安全与发展的关系,以安全保发展,从发展中求安全 统筹规划,突出重点,加强信息安全的基础性工作 明确国家、企业、个人的责任和义务,充分发挥各方面的作用,全社会共同构筑国家信息安全保障体系
立足国情,以我为主 立足我国信息化发展的现状 立足我国信息安全的现状 立足我国信息产业的现状 在关键安全技术研发方面,坚持以我为主 开发有自主知识产权和自主可控的先进技术 。
坚持管理与技术并重-1 信息安全保障首先是高技术的对抗 必须具备一定的物质和技术手段 落后就要挨打,落后就要受制于人 大力发展信息安全技术和信息产业 加快培养信息安全专业技术人才
坚持管理与技术并重-2 科学的管理是信息技术转化为信息安全保障能力的必要条件 90%以上的成功攻击是利用了已知的漏洞或者已经提供了软件修改或“补丁”的漏洞(美国国防部系统) 充分发挥我们的政治优势、制度优势,增强政治责任心,切实加强信息安全管理
从发展中求安全 必须适应经济全球化加快发展和我国加入WTO、对外开放进一步扩大的新形势,用开放的眼光和思路,解决信息安全保障问题 只有大力发展信息化,才能为解决信息安全问题提供物质和技术保障 发展信息产业,增强我国的国际竞争力;国际制衡有利于安全
以安全保发展 只有高度重视和切实加强信息安全保障工作,才能促进信息化的健康发展 信息安全是发展面临的问题同时也是发展的内容
统筹规划,突出重点 重点保障基础信息网络和重要信息系统的安全 信息化发展的不同阶段和不同的信息系统,有着不同的安全需求 各地区、各部门处于信息化发展的不同阶段,必须从各自的实际出发,确定工作重点,进行信息安全建设和管理 统筹兼顾,综合平衡安全风险和建设成本,科学配置和集成信息安全资源
全社会共同构筑国家信息安全保障体系 明确国家、企业、个人的责任和义务,充分发挥各方面的作用,全社会共同构筑国家信息安全保障体系 信息安全从涉及政权巩固到涉及政权巩固和生产力的发展,全面影响国家安全 从自扫门前雪到依靠全社会的力量
信息安全保障的主要工作 建立健全信息安全责任制(1) 信息安全保障的基础性工作(4) 信息安全保障的支撑性工作(4)
信息安全保障的主要工作 -健全责任制 加强对信息安全工作的领导 建立健全信息安全责任制
信息安全保障的主要工作 -基础性工作 实行信息安全等级保护, 重视信息安全风险评估 加强以密码技术为基础的信息保护 和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作
信息安全保障的主要工作 -支撑性工作 加强信息安全技术研究开发, 推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养, 增强全民信息安全意识 保证信息安全资金
加强对信息安全工作的领导 建立健全信息安全责任制 各级党委和政府要高度重视信息安全工作,加强对信息安全工作的领导。要抓紧建立健全信息安全管理体制,明确主管领导,落实责任部门 建立和落实信息安全管理责任制。安全建设和安全管理,按照谁主管谁负责、谁运营谁负责的要求,由各主管部门和运营单位负责 随着国民经济和社会发展对信息和信息系统依赖程度的增加,信息安全对国家安全和社会稳定的重要作用更加突出。针对目前信息安全意识普遍薄弱、安全管理制度不健全、责任不落实的情况,《意见》强调:各级党委和政府要高度重视信息安全工作,加强对信息安全工作的领导。在推进信息化过程中,要坚持一手抓信息化,一手抓信息安全保障工作。要抓紧建立健全信息安全管理体制,明确主管领导,落实责任部门。 加强信息安全管理,关键是要落实责任。考虑到原国家信息化工作领导小组2001年3月颁布的《关于计算机网络信息安全管理工作中有关部门职责分工的通知》和中办、国办《关于进一步加强互联网新闻和信息内容安全管理工作的意见》(中办发[2002]8号)已明确规定了各部门的信息安全管理职责,《意见》主要是要求加强管理和落实责任,分别从信息安全的三个方面(基础信息网络安全、重要信息系统安全和信息内容安全)强调了各有关部门和单位的责任,同时也特别强调了国家各有关职能部门要按照职能分工,协同配合,切实履行信息安全管理的职责
为什么强调建立健全信息安全责任制 信息安全意识普遍薄弱、安全管理制度不健全、责任不落实 落实“谁主管谁负责、谁运营谁负责”是关键 从中央到地方、落实到基层单位和企业 落实到信息安全保障的所有工作中
国家网络与信息安全协调小组 组长:黄菊 副组长:曾培炎、周永康、熊光楷 国家网络与信息安全协调小组负责国家信息安全保障的综合协调工作
加强各方面的协调配合 信息安全管理涉及到多个部门,工作中难免有一定的交叉 按照职能分工,各司其职,勇于负责 主动配合,互相支持,形成合力,共同履行信息安全管理的职责 军地结合、军民合作,形成军民互动、寓军于民、优势互补、协调发展 。
实行信息安全等级保护 建立信息安全等级保护制度。 信息化发展的不同阶段和不同的信息系统有着不同的安全需求 从实际出发,综合平衡安全成本和风险,保障重点 国家重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统 制定信息安全等级保护的管理办法和技术指南
为什么要实行等级保护 信息安全的等级是客观存在的 信息和系统的(互)依赖性、重要性、威胁和脆弱性 有利于突出重点,加强安全建设和管理 有利于控制安全的成本 有利于个人数据(隐私)的保护
实行等级保护是信息安全保障 的基本政策 分级分类实现必要的足够的承担适度风险的安全(适度安全) 等级保护涉及到信息系统的重要性、秘密性和密码管理等多方面 各部门、各单位都要根据等级保护制度的要求,结合各自的特点,建立相应的安全保护策略、计划和措施
信息安全等级保护相关的法规 1994年颁布的《中华人民共和国计算机信息系统安全保护条例》决定:实行等级保护 《网络信息安全条例》及其配套管理办法和实施指南(正在制定)
信息安全等级保护相关的标准 1999年颁布国标《计算机信息系统安全保护等级评估准则》(GB17859)(可信计算安全准则TCSEC) 2001年颁布国标《信息技术安全性评估准则》(GB/T18336 )(通用准则CC) 研究制定信息系统方面的等级保护标准
等级保护制度需要在发展中完善 我国目前缺少的是可实施的标准 信安标委正在组织制定相关标准 需要协调多部门(公安部、保密局和国密办等)共同实施等级保护制度 从实际出发, 分级、分类、分阶段实施,在应用过程中完善
重视信息安全风险评估工作 对网络与信息系统的安全威胁、薄弱环节、防护措施等进行分析评估 根据网络与信息系统的重要性、涉密程度和所面临的信息安全风险等因素进行安全建设和管理
为什么重视信息安全风险评估工作 信息系统存在安全风险 由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响 信息安全风险管理是信息安全管理的核心 信息安全风险评估是风险管理的基础,信息安全建设和管理的起点和基础
信息安全风险评估的目的 目的: 避免、控制、减少、转移风险 提高隐患发现能力是做好风险评估的关键: 信息技术产品安全漏洞和“后门”分析 信息系统安全隐患与薄弱环节分析 信息安全风险评估标准和规范尚不完善(国内外)
信息系统与信息产品评估的区别 信息系统风险评估涉及信息资源的各方面: 信息(信息秘密)以及人员、设备、资金 和信息技术等 产品:市场流通,系统:非流通 产品评估:可以通过第三中介机构 信息系统风险评估的管理者: 谁主管谁负责、谁运营谁负责
加强以密码技术为基础的信息保护 和网络信任体系建设 按照满足需求、方便使用、加强管理的原则,修改完善密码管理法规,建立健全适应信息化发展的密码管理体制 建立协调管理机制,规范和加强以身份认证、授权管理、责任确定等为主要内容的网络信任体系建设 密码技术是信息安全保护的关键技术,特别是在网络与信息系统的数据保护、安全隔离、信任体系建设等方面起着基础作用。随着信息化的发展,电子政务、电子商务建设乃至公民个人信息保护都越来越多地应用密码技术,《意见》提出:按照满足需求、方便使用、加强管理的原则,进一步完善密码管理法规,建立健全适应信息化发展的密码管理体制。加强密码的开发利用。建立科学的密钥管理体系。 加强以密码技术为基础的信息保护和网络信任体系建设。随着信息化和网络应用的发展,面向商用和公众服务的密码需求日益增多。密码管理工作必须适应经济全球化和进一步开放的大环境,按照“满足需求、方便使用、加强管理”的原则,修改完善密码管理法规,建立健全适应信息化发展需要的密码管理体制。加强密码技术的开发利用,建立科学的密钥管理体系,做好信息化密码保障工作。抓紧建立协调管理机制,统筹规划和推进我国网络信任体系建设,避免不必要的重复建设,实现资源共享和互联互通
密码管理体制面临的挑战 面临电子政务特别是电子商务的开放环境 面临全球漫游的通信环境(WLAN、移动通信、互联网等) 面临通用信息系统的密码管理(操作系统等) 密码管理工作必须适应经济全球化和进一步开放的大环境
PKI体制中需要解决的问题 无关于PKI的国家标准(信安标委负责) 已经制定了9个相关标准 无数字签名法规(法制办负责) 正在征求意见
重视PKI系统自身的安全 PKI系统自身的安全是信任的基础 —NSA信息保障部部长 丹尼尔.G.沃尔夫
PKI的建设要以业务需求为导向 按等级保护的要求,要以业务需求为导向规划网络信任体系的建设 PKI技术不能解决所有的信息安全问题 比如:DDOS 、灾难恢复、密码破译等 单一技术方案不符合综合防范的要求
建立和完善信息安全监控体系 基础信息网络的运营单位和各重要信息系统要根据实际情况建立和完善信息安全监控系统 提高对网络攻击、病毒传播、网络失窃密的防范能力 有效的检测是实现正确反应的前提
重视信息安全应急处理工作 国家和社会各方面都必须重视信息安全应急处理工作 进一步完善国家信息安全应急处理协调机制 建立健全信息安全通报制度 制定和不断完善信息安全应急处置预案 加强信息安全应急支援服务队伍建设
对信息安全应急处理的认识 信息安全保障由静态到动态的发展 安全事件的类型: 一般安全事件(incident) 紧急安全事件(emergency) 灾难事件(disaster) 应急处理成本和代价高于一般事件的处理 检测与响应:检测的成本低于应急处理
信息安全事件检测与响应 检测攻击和非法入侵 开发稳健的情报和执法功能,保持与法律的一致 以实时的方式共享攻击警报和信息 建立响应、重建和恢复能力
系统建设要考虑灾难恢复-1 信息与系统的恢复是信息安全保障的重要环节 各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复 灾难备份建设要从实际出发(考虑成本),提倡资源共享、互为备份 鼓励社会力量参与灾难备份设施建设和提供技术服务 注意网络结构的抗毁性
系统建设要考虑灾难恢复-2 灾难恢复是应急处理的组成部分 灾难是低概率事件,灾难备份投资大 平战结合,充分利用数据备份资源为日常事件反应和应急处理服务
加强信息安全技术研究开发 推进信息安全产业发展 加强信息安全关键技术和相关核心技术的研究,提高自主创新能力和技术转化能力,加快产业化进程 加强对引进产品的安全可控技术研究 注意研究新技术、新业务应用可能带来的信息安全问题 进一步加强技术研发与产业的结合,提高研发成果转化率
自主创新与自主可控 发展自主知识产权的信息技术有利于: -解决可能 “预埋”的病毒、“后门”或预先设置 的各种安全缺陷等 -解决可能 “预埋”的病毒、“后门”或预先设置 的各种安全缺陷等 -采取有效的安全措施,如信息加密等 自主的信息产业并不等于安全,对改变信息技术的脆弱性并没有直接关系 面对我国信息产业的现状和经济全球化的大趋势,需要研究安全可控技术
技术研发与产业发展面临的挑战 自主创新能力缺乏 技术转化能力弱,投入不足 产业化进程慢,市场需要进一步规范 对信息产品的安全可控技术研究需要进一步加强 对信息网络抗攻击能力研究缺乏 对信息技术的安全漏洞分析和控制能力需要进一步提高
推进信息安全认证认可工作 推进认证认可工作 规范和加强信息安全产品测评认证
关于信息安全产品认证认可 信息安全产品的认证,包括对安全产品和相关产品的安全模块的认证 依据法规和有关方面授权的认证机构有多家 认监委牵头组织推进信息安全产品认证认可工作
信息安全产品认证认可要解决的问题 提高我国对信息安全产品的测评水平是实现信息安全保障的当务之急 重复测评,重复认证和重复收费问题影响我国信息产业的发展
信息安全产品认证认可的基本原则 按“四个统一”的原则规范我国信息安全认证认可体制 统一标准、技术法规和合格评定程序 统一目录 统一标志 统一收费标准 安全产品检测机构与认证机构分离
加强信息安全法制建设 充分运用现行法律法规,规范网络行为,维护网络秩序 抓紧研究制定《信息安全法》 确立信息安全的法律原则和基本制度,明确社会各方面保障信息安全的责任和义务 加强信息安全执法队伍建设
信息安全法律体系需要完善 保障工作若干任务需要法律支持: 风险管理和评估、认证认可、监控、应急处理、灾难恢复、信息通报与共享等 网络信任体系的法规正在制定 商用密码管理的法规需要进一步完善
网络信息安全条例 已经列入2003年国务院立法计划 国信办牵头制定《网络信息安全条例》 委托公安部先期起草 各项主要工作的落实为立法做铺垫 是所有部门与全社会共同的责任、共同参与、立法公开
加强信息安全理论和战略研究 国信办正在组织信息安全战略研究 以信息安全战略指导和规划信息安全保障体系建设 充分估计网络与信息系统的安全威胁、 (互)依赖性和脆弱性是制定安全战略的基础
加强信息安全标准化建设 加强信息安全标准化工作 抓紧制定急需的信息安全管理和技术标准 形成与国际标准衔接的具有中国特色的信息安全标准体系 重视标准信息推广应用工作
关于全国信息安全标准化技术委员会 2002年我国信息安全标准的情况: 信息安全标准缺口较大 多管理部门分别制定相关标准 两个信息安全评估标准需要协调 国家标管委、信息产业部和信息办协商于2002年建立了全国信息安全标准化技术委员会
信安标委的工作 2003年制定的标准:16项 2004年将制定的标准:25项 2005年计划将制定标准:20-30项 推进信息安全标准研究课题:36项 加强标准的宣传贯彻的力度 将向全社会公开标准草案:进一步加强标准制定的公开性
加快信息安全人才培养 增强全民信息安全意识 要加强信息安全学科、专业和培训机构建设,加快信息安全人才培养 加强信息安全宣传工作,大力普及信息安全知识和基本技能 加强各级干部的信息安全培训 开展全社会特别是对青少年的信息安全教育和法律法规教育 增强全民信息安全意识,自觉规范网络行为
保证信息安全资金 信息安全建设是信息化的有机组成部分,必须与信息化同步规划,同步建设 各部门、各地区在信息化建设中,要同步考虑信息安全建设的内容,并保证信息安全运行维护费用 国家重点支持信息安全的基础性工作和基础设施建设 。
关于《意见》的实施 各部门、各地区要根据本意见的精神 结合实际制订实施计划 将信息安全保障工作落到实处
对信息安全若干具体问题的回答 关于电子政务安全保障问题 关于安全隔离与交换问题 关于灾难恢复问题
关于电子政务安全保障问题 电子政务系统包括多领域的重要信息系统 不同领域的电子政务保障体系不一定相同 电子政务安全保障是国家信息安全保障体系的重要部分 按《意见》的要求,具体实施电子政务安全保障
重要的是确定信息的密级 电子政务内网与外网之间实行物理隔离 电子政务外网与互联网之间实行逻辑隔离是重大的进步 业务单位(部门)的内部局域网是源信息的载体 内部局域网上的信息只有需要互联互通时才放在内网或外网上 确定信息密级是业务部门的责任
电子政务系统网络的分层结构 电子政务系统的网络的三层结构: 基础电信网:SDH、ATM以及各种传输设备 数据通信网:路由器等 业务网:服务器、路由器以及各种计算设备 数据通信网应该具有多网孔结构以增强抗毁性 基础电信网和数据通信网可以统筹规划、建设和管理 在不同网络层面采取不同的安全措施
关于安全隔离与交换问题 安全隔离与交换的方式 物理隔离是无奈的选择 物理隔离不能解决信息安全保障的所有问题
安全隔离与交换的方式(NIST)-1 信息系统的边界主机通过控制与内部网适当隔离 外部服务器可以位于边界保护设备(比如防火墙)的外部或者在一个与内联网分离的网络上 所有的互联网接入都要通过互联网接入点;该接入点受信息系统拥有者或者主管单位的管理和控制,并且满足主管单位的需求:通过物理或技术的方式与其他单位的信息系统隔离
安全隔离与交换的方式(NIST)-2 所有与互联网、外部网络或外部信息系统的连接都要通过代理服务器、网关或防火墙 单位信息系统与互联网,或者其他公共或商用广域网络之间的公共广域连接需要一个信息保护网(IPN) IPN的作为入口的一个点并且负责保护信息系统边界或外部连接 Any connection to the Internet, or other external networks or information systems, occurs through a proxy, gateway, or firewall. Public wide area network connections between the organizational information systems and the Internet or other public or commercial wide area networks require an information protection net-work (IPN) that acts as the single point of entry into the site and defends the information system boundary or external connection(s).
物理隔离是无奈的选择 适当的物理隔离是必要的 安全漏洞的控制是一个难题 信息技术产品安全漏洞的分析 (发现新漏洞) 信息产品和系统的安全评估 (对已知漏洞的控制)
什么样的隔离与交换是物理隔离? 物理隔离不等于物理断开 隔离与交换依赖于: 有效的安全审计和控制 对应用的限制 安全审计和控制是有条件的 隔离与交换与等级保护的关系? 隔离与交换是否能完全防范外部入侵和攻击?
重视对安全隔离与交换技术的研究 对不同等级的信息在同一个网络中存在的安全隔离与控制技术的研究尚不深入 对国外研究和应用的情况不十分了解 IPN(信息保护网)是什么? GUARD(卫兵,护卫)是什么?
物理隔离是否解决信息安全保障 的所有问题? 信息和系统的可用性、可控性、不可否认性 内部攻击 内外勾结的攻击 误操作 (据2000年统计,信息破坏的55%是由于误操作) 灾害
内部网络(安全域)规模过大 所面临的问题 接入方式可能失控 主动和被动,有线和无线, 恶意预设的“逻辑炸弹” 通过网络节点可能使物理隔离失效 管理的复杂度提高
关于信息资源的保护 信息资源包括信息以及相关资源,人员、设备、资金和信息技术等 涉密系统安全不仅仅是保密问题 保障体系:综合防范 非涉密系统也有保密问题 法规、标准、管理 国家、集体、个人的信息资源都需要保护
灾难备份是灾难恢复的基础 灾难备份是灾难恢复的基础 灾难备份包括数据备份和系统功能备份 数据备份的途径:国家、社会或自主 系统功能备份:不同系统的要求不同
灾难备份要以业务需求为导向 数据处理、调度控制等系统对灾难备份的要求可能不同 不同安全等级的系统对灾难备份的要求也可能不同 数据存储的方式不同,灾难备份的方式也可能不同: -物理分布存储 -物理集中存储 -逻辑集中、物理分布存储
谢谢! 请提宝贵意见!